Le RGPD encadre la manière dont les entreprises collectent et conservent les données personnelles. Mais il encadre aussi, et on l'oublie souvent, la manière dont elles doivent s'en débarrasser. Au Luxembourg, une mauvaise gestion de la fin de vie des données peut exposer une entreprise à des sanctions de la CNPD au même titre qu'une fuite active.
Le principe de limitation de la conservation
Le RGPD pose un principe clair : les données personnelles ne doivent pas être conservées plus longtemps que nécessaire. Une fois la finalité atteinte — fin d'un contrat, départ d'un salarié, obligation légale expirée — les données doivent être supprimées de façon sûre. Cela vaut pour les fichiers numériques comme pour les supports physiques : disques durs, SSD, sauvegardes, ordinateurs en fin de vie.
« Supprimer » ne suffit pas
Effacer un fichier ou formater un disque ne détruit pas les données ; cela les rend simplement moins visibles. Des outils courants permettent de récupérer des données « supprimées » sur un disque réutilisé ou revendu. Pour être conforme, la destruction doit être irréversible. Sur les disques durs et surtout les SSD, seule la destruction physique offre cette garantie.
La charge de la preuve repose sur vous
Le principe de responsabilité (accountability) du RGPD impose à l'entreprise de prouver sa conformité. En cas de contrôle, affirmer que les anciens disques ont été détruits ne suffit pas : il faut le documenter.
C'est le rôle du certificat de destruction. Chez Lëtzclean Data, chaque intervention génère un certificat indiquant les numéros de série des supports détruits et la date de destruction. Ce document constitue la preuve auditable que la CNPD ou un client peut exiger.
Le risque du transport
Beaucoup d'entreprises confient leurs disques à un prestataire qui les détruit hors site, des jours plus tard. Pendant ce délai, les données restent intactes et hors de votre contrôle — une exposition difficile à justifier en cas d'incident. La destruction sur site, sous votre supervision, réduit cette zone grise : les données sont détruites avant de quitter vos locaux.
Bonnes pratiques pour une entreprise luxembourgeoise
- Définir une politique de durée de conservation et de destruction des données.
- Détruire physiquement les supports en fin de vie plutôt que de simplement les effacer.
- Privilégier une destruction sur site pour limiter les transferts.
- Conserver un certificat de destruction pour chaque opération.
- Recycler le matériel via une filière conforme à la directive DEEE.
En résumé
La conformité RGPD ne s'arrête pas à la protection des données actives : elle englobe leur destruction. Une destruction irréversible, documentée et supervisée n'est pas seulement une bonne pratique — c'est une obligation que votre entreprise doit pouvoir démontrer.
Besoin d'une destruction de données conforme au RGPD au Luxembourg ? Demandez un devis à Lëtzclean Data.